Lançamento Estável do Discourse 2.8.14
O Discourse recomenda fortemente que todos os sites sigam o branch padrão tests-passed do Discourse. O branch “stable” foca mais na ausência de mudanças do que na ausência de bugs - todas as versões, incluindo as de tests-passed e beta, estão prontas para produção.
Mudanças
Segurança:
- Emails de usuários ativos do BCC do SMTP do grupo CVE-2022-46168
- Sanitiza títulos de
PendingPostantes de renderizar para prevenir XSS CVE-2023-22454 - Não expõe contagens de posts de usuários para usuários que não podem ver o tópico CVE-2023-22453
- Escapa aspas na descrição da tag ao renderizar CVE-2023-22455
- Verifica o comprimento do corpo bruto do post para prevenir bypass de
max_lengthCVE-2022-23549 - Exclui tokens de email quando o email de um usuário é alterado ou excluído CVE-2022-46177
- Usa
rstripem vez degsubde regex para prevenir ReDOS CVE-2022-23548 - Converte
send_digestpara uma requisição POST CVE-2022-23546
Atualizações de Segurança do Componente de Tema
O componente de tema mermaid também recebeu uma correção de segurança. Certifique-se de atualizar os componentes de tema além do Discourse.
- Renderiza erros como texto simples CVE-2022-46180